PCT/EPOO/06510 



F ENT COOPERATION TRE/ ' 

From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION OF ELECTION 

(PCT Rule 61.2) 


To: 

commissioner 

US Department of Commerce 
United States Patent and Trademark 
Office, PCT 

2011 South Clark Place Room 
CP2/5C24 

Arlinaton VA 22202 
ETATS-UNIS D'AMERIQUE 

in its capacity as elected Office j 


Date of mailing (day/month/year) 
07 May 2001 (07.05.01) 




International application No. 
PCT/EPOO/06510 


Applicant's or agent* s file reference 
P99026WO.1P 


International filing date (day/month/year) 
10 July 2000(10.07.00) 


Priority date (day/month/yea r) 
12 August 1999(12.08.99) 


Applicant 

MARTIN, Tobias et al 



1 . The designated Office is hereby notified of its election made: 

| X | in the demand filed with the International Preliminary Examining Authority on: 

24 January 2001 (24.01.01) 



CZl ' n a not ' ce e ^ ectin 9 ,ater election filed with the International Bureau on: 



2. The election Q<] 

□ 



was not 



made before the expiration of 1 9 months from the priority date or, where Rule 32 applies, within the time limit under 
Rule 32.2(b). 





Authorized officer 


The International Bureau of WIPO 


34, chemin des Colombettes 


Athina Nickitas-Etienne 


1211 Geneva 20, Switzerland 


Facsimile No.: (41-22) 740.14.35 


Telephone No.: (41-22) 338.83.38 



Form PCT/IB/331 (July 1992) EP0006510 



THIS PAGE BLANK (uspto) 



§UBER DIE INTERNATIONALE ZU&A 
,\UF DEM GEBIET DES PATEN^Hs 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



MMENARBEIT 
SENS 



Aktenzeichen des Anmelders Oder Anwalts 

P99026W0.1P 


WEITERES siene Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/EP 00/06510 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

10/07/2000 


(Fruhestes) Priorrtatsdatum (Tag/Monat/Jahr) 

12/08/1999 


Anmelder 

DEUTSCHE TELEKOM AG 



Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehdrde ersteltt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermrttelt 

Dieser internationale Recherchenbericht umfa&t insgesamt _3 Blatter. 

|X| Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berlchts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Gbersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotide und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

| | in der internationalen Anmeldung in Schriflicher Form enthalten ist 

| | zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

[ j bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

| I Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehart der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

r_ \ Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

| | Bestlmmte Anspruche ha ben slch als nlcht recherchlerbar erwlesen (siehe Feld I). 
| | Mangelnde Elnhettllchkett der Erflndung (siehe Feld II). 



2. 
3. 

4. 



Hinsichtlich der Bezelchnung der Erflndung 

[X| wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 

. . wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 

j j Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 



[ | wie vom Anmelder vorgeschlagen [X] keine der Abb. 

Q weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet 
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INTERNATIONALER RECHERCHENBERICHT 
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Internationales Aktenzelchen 

CT/EP 00/06510 



A. KLAS9FIZIERUNG DES ANMEHWiGSGEGENSTANDES 

IP-K 7 H04L9/08 



Nach der International en Patentktassifikation (1PK) Oder nach der nationalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 7 H04L 



Recherchierte aber nicht zum Mindestprufstoff gehdrende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der intemationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtJ. verwendete Suchbegriffe) 

EPO-Internal , WPI Data, INSPEC, PAJ, IBM-TDB 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie" Bezeichnung der VeroffentJichung, soweit erforderllch unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



LENNON R E ET AL: "Cryptographic key 
distribution using composite keys" 
BIRMINGHAM, ALABAMA, DEC. 3-6, 1978, NEW 
YORK, I.E.E.E.US, 
Bd. CONF. 1978, 

3. Dezember 1978 (1978-12-03), Seiten 
26101-26116-6, XP002098158 
Seite 26.1.4, linke Spalte, Zeile 23 
-Seite 26.1.5, rechte Spalte, Zeile 8 
Seite 26.1.6, linke Spalte, Zeile 14 - 
Zeile 17 

MENEZES ET AL.: "HANDBOOK OF APPLIED 
CRYPTOGRAPHY" 

1997 , CRC PRESS , BOCA RATON (US) 
XP002152150 

Seite 528, Zeile 22 - Zeile 24 

-/-- 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



ID 



Siehe Anhang Patentfamilie 



0 Besondere Kategorien von angegebenen Veroffentlichungen 

"A" VeroffentJichung, die den allgemeinen Stand derTechnik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

"E" a I teres Dokument, das jedoch erst am oder nach dem intemationalen 
Anmeldedatum veroffentlicht word en ist 

"L" VeroffentJichung, die geeignet ist, einen Priori tatsanspruch zweifelhaft er- 
scheinen zu I ass en, oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten VeroffentJichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" VeroffentJichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung. eine Ausstellung oder andere MaRnahmen bezieht 

"P" VeroffentJichung, die vor dem intemationalen Anmeldedatum, aber nach 
dem beanspruchten Priori tatsdatum veroffentlicht word en ist 



"T" Spatere VeroffentJichung, die nach dem intemationalen Anmeldedatum 
oder dem Priori tatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" VeroffentJichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein auf grund dieser VeroffentJichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

"Y" VeroffentJichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 

VeroffentJichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der intemationalen Recherche 



7. November 2000 



Absendedatum des intemationalen Recherchenberichts 



22/11/2000 



Name und Postanschrift der Intemationalen Recherchenbehorde 
Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Holper, G 
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INTERNATIONALER RECHERCHENBERICHT 



C.(Fortsetzung) ALS WESENTLI 



GESEHENE UNTERLAGEN 



Jlnt 

m 



Internationales Aktenzelchen 

CT/EP 00/06510 



Kategorie* Bezeichnung der Veroffentlichung, soweit erforderlich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



EP 0 535 863 A (AMERICAN TELEPHONE & 
TELEGRAPH) 7. April 1993 (1993-04-07) 
Seite 9, Zeile 10 - Zeile 23 

BURMESTER M ET AL: "SECURE AND EFFICIENT 
CONFERENCE KEY DISTRIBUTION SYSTEM" 
ADVANCES IN CRYPT0L0GY- EUR0CRYPT. 
INTERNATIONAL CONFERENCE ON THE THEORY AND 
APPLICATION OF CRYPTOGRAPHIC 
TECHNIQUES, SPRINGER VERLAG.DE, 

1995, Seiten 275-286, XP000934269 
in der Anmeldung erwahnt 
Seite 279, Absatz 3.3 
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INTERNATIONAL SEARCH REPORT 

formation on patent family members 



Patent document 
cited in search report 



International Application No 

fcCT/EP 00/06510 



Publication 
date 


Patent family 
member(s) 


Publication 
date 


07-04-1993 


US 


5241599 A 


31-08-1993 




AU 


648433 B 


21-04-1994 




AU 


2351392 A 


08-04-1993 




CA 


2076252 A,C 


03-04-1993 




JP 


2599871 B 


16-04-1997 




JP 


6169306 A 


14-06-1994 




NO 


923740 A 


05-04-1993 



EP 0535863 



Form PCT/1SA/210 (patent family annex) {July 1992) 



m 
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(12) NACH DEM VERTING UBER DIE INTERNATIONALE ZUSAMMENARBEIT AUF DEM GEBIET DES 
PATENTWESENS (PCT) VEROFFENTLICHTE INTERNATIONALE ANMELDUNG 



(19) Weltorganisation fur geistiges Eigentum 
Internationales Biiro 

(43) Internationales Veroffentlichungsdatum 
22. Februar 2001 (22.02.2001) 




PCT 



i he] ilium ii urn ilii on i n in niu ird rdi imi till nuni mi uu nu 

(10) Internationale Verdffentlichungsnummer 

WO 01/13567 Al 



(51) Internationale Patentklassifikation 7 : H04L 9/08 

(21) Internationales Aktenzeichen: PCT/EPOO/06510 

(22) Internationales An ra elded atum: 

10. Juli 2000 (10.07.2000) 



(25) Einreichungssprache: 

(26) VerdfTentlichungssprache: 



Deutsch 
Deutsch 



(30) Angaben zur Prioritat: 

199 38 198.4 12. August 1999 (12.08.1999) DE 

(71) An m elder (fur alle Bestimmungsstaaten mit Ausnahme von 
US): DEUTSCHE TELEKOM AG [DE/DE]; Friedrich- 
Ebert-Allee 140, D-53113 Bonn (DE). 

(72) Erfinder; uTnd 

(75) Erfinder/Anmelder (nur fur US): MARTIN, Tobias 



[DE/DE]; Spitzengarten 1, D-35466 Rabenau (DE). 
SCHAFFELHOFER, Ralf [DE/DE]; Wittmannstr. 39, 
D-64285 Darmstadt (DE). SCHWENK, Jorg [DE/DE]; 
Sudwestring 27, D-64807 Dieburg (DE). 

(74) GemeinsamerVertreter: DEUTSCHE TELEKOM AG; 
Rechtsabteilung (Patente) PA1, D-64307 Darmstadt (DE). 

(81) Bestimmungsstaaten (national): AU, CA, US. 

(84) Bestim m u n gsstaa ten (regional) : europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, Fl, FR, GB, GR, IE, IT, LU, MC, 
NL, PT, SE). 

Veroffentlicht: 

— Mit internationalem Recherchenbericht. 

Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Abkurzungen wird auf die Erkldrungen (""GttK&wice Notes on 
Codes and Abbreviations") am Anfang jeder reguldren Ausgabe 
der PCT-Gazette verwiesen. 



== (54) Title: METHOD FOR ESTABLISHING A COMMON KEY FOR A GROUP OF AT LEAST THREE SUBSCRIBERS 

Hp (54) Bezeichnung: VERFAHREN ZUM ETABLIEREN EINES GEMEINSAMEN SCHLUSSELS FUR EINE GRUPPE VON 
^= MINDESTENS DREI TEILNEHMERN 



so 

ID 



O 



(57) Abstract: The inventive method is based on a publicly known mathematical number group (G) and a higher order element of 
the group g e G. In the first work step, a message corresponding to Ni: = g" mod p) is sent by each subscriber (Ti) to all other 
subscribers (Tj), (zi) being a random number chosen from the set (1, p-2) by a random number generator. In the second work 
step, each subscriber (Ti) selects a transmission key kij: = (g^)= for each other subscriber (Tj) from the received message (g^), with 
i * j, for transmitting their random number (zi) to the subscribers (Tj). In the third work step, the common key k is calculated as k: 
= f(zl, z2, zn) for each subscriber Ti. The inventive method can be advantageously used for generating a cryptographic key for a 
group of at least three subscribers. 

(57) Zusammenfassung: Das erfindungsgemasse Verfahren basiert auf einer offentlich bekannten mathematischen Zahlengruppe 
(G) und einem Element der Gruppe g € G grosser Ordnung. Im ersten Arbeitsschritt wird von jedem Teilnehmer (Ti) eine Nach- 
richt der Form Ni: = g^ mod p) an alle anderen Teilnehmer (Tj) gesendet, wobei (zi) eine mittels eines Zufallsgenerators gewahlte 
zufallige Zahl aus der Menge (1, p-2) ist. Im zweiten Arbeitsschritt wahlt jeder Teilnehmer (Ti) fur jeden weiteren Teilnehmer 
(Tj) mit i * j aus der empfangenen Nachricht (g 2 *) einen Ubenragungsschlussel kij: = (g^y* fur die Obertragung seiner Zufallszahl 
(zi) an die Teilnehmer (Tj). Im dritten Arbeitsschritt wird bei jedem Teilnehmer Ti der gemeinsame Schlussel k als k: = f(zl , z2, 
zn) berechnet Das erfindungsgemasse Verfahren lasst sich vorteilhaft zur Erzeugung eines kryptographischen Schlussels fur eine 
Gruppe von mindestens drei Teilnehmern einsetzen. 
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Verfahren zum Etablieren eines gemeinsamen Schlussels fur eine Gruppe von 
mindestens drei Teilnehmern 

Beschreibung 

Die Erfindung betriffi ein Verfahren zum Etablieren eines gemeinsamen Schlussels 
innerhalb einer Gruppe von Teilnehmern gemafl dem Oberbegriff des unabhangigen 
Anspruchs. 

Verschliisselungsverfahren in vielfaltiger Art gehoren zum Stand der Technik und haben 
zunehmend kommerzielle Bedeutung. Sie werden dazu eingesetzt, Nachrichten fiber 
allgemein zugangliche Ubertragungsmedien zu ubertragen, wobei aber nur die Besitzer 
eines Krypto-Schlussels diese Nachrichten im Klartext lesen konnen. 

Ein bekanntes Verfahren zur Etablierung eines gemeinsamen Schlussels iiber unsichere 
Kommunikationskanale ist z. B. das Verfahren von W. Diffie und W. Hellmann (siehe 
DH-Verfahren W. Diffie und M. Hellmann, siehe New Directions in Cryptography, IEEE 
Transaction on Information Theory, IT-22(6): 644-654, November 1976). 

Grundlage des Diffie Hellmann Schlusselaustausches (DH-Schlusselaustausch) ist die 
Tatsache, daB es praktisch unmoglich ist, Logarithmen modulo einer grofien Primzahl p zu 
berechnen. Dies machen sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, 
indem sie jeweils eine Zahl x bzw. y kleiner als p (und teilerfremd zu p-1) geheim wahlen. 
Dann senden sie sich (nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz modulo p 
einer offentlich bekannten Zahl a zu. Aus den empfangenen Potenzen konnen sie durch 
emeutes Potenzieren modulo p mit x bzw. y einen gemeinsamen Schliissel K: = a** mod p 
berechnen. Ein Angreifer, der nur a x mod p und a y mod p sieht, kann daraus K nicht 
berechnen. (Die einzige heute bekannte Methode dazu besttinde darin, zunachst den 
Logarithmus z. B, von a x zur Basis a modulo p zu berechnen, und dann a y damit zu 
potenzieren.) 



WO 01/13567 PCT/EPOO/06510 

2 

Alice Bob 

Wahlt x geheim o£ 

a y Wahlt y geheim 



Bildet K: = (a 3 )* = Bildet K: = (a x ) y = a** 

Beispiel fur Diffie-Hellmann-Schliisselaustausch 

10 Das Problem beim DH-Schliisselaustausch besteht darin, daB Alice nicht weiB, ob sie 
tatsSchlich mit Bob kommuniziert, oder mit einem Betriiger. In den IPSec-Standards der 
Internet Engineering Task Force (IETF RFC 2412: The OAKLEY Key Determination 
Protocol ) wird dieses Problem durch den Einsatz von Public-Key-Zertifikaten gelost, in 
denen durch eine vertrauenswurdige Instanz die Identitat eines Teilnehmers mit einem 

15 offentlichen Schliissel verknupft wird. Dadurch wird die Identitat eines Gesprachspartners 
iiberpriifbar. 

Der DH-Schlusselaustausch kann auch mit anderen mathematischen Strukturen realisiert 
werden, z. B. mit endlichen Korpern GF (2") oder Elliptischen Kurven. Mit diesen 
20 Alternativen kann man die Performance verbessern. 

Dieses Verfahren ist allerdings nur zur Vereinbarung eines Schlussels zwischen zwei 
Teilnehmern geeignet. 



Es wurden verschiedene Versuche unternommen, das DH- Verfahren auf drei oder mehr 
25 Teilnehmer zu erweitem (Gruppen DH). Einen Uberblick uber den Stand der Technik 

bietet M. Steiner, G. Tsudik, M. Waidner in Diffie-Hellmann Key Distribution Extened to 
Group Communication, Proc. 3 rd ACM Conference on Computer and Communications 
Security, Marz 1 996, Neu Delhi, Indien. 

4 



30 



Eine Erweiterung des DH-Verfahrens auf Teilnehmer A, B und C wird z. B. durch 
nachfolgende Tabelle beschrieben (Berechnung jeweils mod p): 
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Teilnehmer A;B;C 


A->B 


B-»C 


C->A 




1 . Runde 




g B 


g" 




2. Runde 






g TC 



Nach Durchfuhrung dieser beiden Runden kann jeder der Teilnehmer den geheimen 
Schlussel g^ mod p berechnen. 

5 

Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference key 
distribution system, Proc. EUROCRYPT'94, Springer LNCS, Berlin 1994 bekannt, bei der 
zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der zweiten Runde 
fur n Teilnehmer n Nachrichten der Lange p = ca. 1 OOOBit gesendet werden mussen. 

10 

Weitere relevante Losungen sind aus M. Bunnester and Y. Desmedt, Efficient and secure 
conference key distribution, Cambridge Workshop on Security Protocols, Springer LNCS 
1 189, pp 1 19-129 (1996) bekannt. Hier wird aber vorausgesetzt, dafi sichere Kanale 
zwischen den Teilnehmem bereits existieren. 

15 

Bei alien diesen Erweiterungen tritt mindestens eines der folgenden Probleme auf: 

• Die Teilnehmer mussen in einer bestimmten Art und Weise geordnet sein, im obigen 
Beispiel z. B. als Kreis, d.h. eine Struktur der Teilnehmergruppe muB vorher bekannt 
sein. 

20 • Wird eine zentrale Stelle zur Koordinierung der Schlusselvereinbarung verwendet, so 
haben die Teilnehmer gegenuber dieser Zentrale keinen EinfluB auf die Auswahl des 
Schlussels. 

• Die Rundenzahl ist abhangig von der Teilnehmerzahl. 

Diese Verfahren sind aus den o. g. Grunden in der Regel schwer zu implementieren und 
25 sehr rechenaufwendig. 



Die Weiterbildung des DH-Verfahrens zu einem Public-Key- Verfahren ist aus T. ElGamal 
„A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms.", 
IEEE Transactions on Information Theory, Juli 1985 bekannt. 
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Das erfindungsgemaBe Verfahren muB zur Erzeugung eines gemeinsamen Schlussels 
innerhalb einer Gruppe von mindestens drei Teilnehmern geeignet sein. Das Verfahren soil 
so ausgebildet sein, dafl es sich gegenuber den bekannten Verfahren durch geringen 
Rechenaufwand und geringen Kommunikationsbedarf (wenige Runden auch bei vielen 

^ilnehmern) auszeichnet. Es soil dabei jedoch einen vergleichbaren Sicherheitsstandard 
wie das DH- Verfahren aufweisen. Das Verfahren mufi einfach zu implementieren sein. 
Informationen fiber die Struktur der Gruppe sollen fur die Durchfiihrung des Verfahrens 
nicht benotigt werden. 



10 Das erfindungsgemaBe Verfahren, das dieser Aufgabenstellung gerecht wird, basiert auf 
den gleichen mathematischen Strukturen wie das DH- Verfahren und weist daher 
vergleichbare Sicherheitsmerkmale auf. Im Vergleich zu den bisher vorgeschlagenen 
Gruppen-DH- Verfahren ist es jedoch wesentlich effizienter im Hinblick auf 
Rechenaufwand und Kommunikationsbedarf. 

15 

Nachfolgend wird das Wirkprinzip des Verfahrens naher erlautert. Die definierten 
Teilnehmer am Verfahren werden mit Tl-Tn und jeder einzelne nicht konkret benannte 
Teilnehmer mit Ti bezeichnet. Mit Tj werden alle anderen am Verfahren beteiligten 
Teilnehmer, ausschlieBlich des jeweiligen Teilnehmers Ti, bezeichnet Die ofifentlich 

20 bekannten Komponenten des Verfahrens sind eine ofifentlich bekannte mathematische 
Gruppe G, vorzugsweise die multiplikative Gruppe aller ganzen Zahlen modulo einer 
groBen Primzahl p und ein Element g der Gruppe G, vorzugsweise eine Zahl 0 < g < p mit 
groBer multiplikativer Ordnung. Fur die Gruppe G konnen jedoch auch andere geeignete 
mathematische Strukturen verwendet werden, z. B. die multiplikative Gruppe eines 

25 endlichen Korpers oder die Gruppe der Punkte einer elliptischen Kurve. Das Verfahren 
wird im Folgenden anhand der Gruppe der Zahlen modulo einer Primzahl p beschrieben. 

Dem Verfahren liegen vier Verfahrensschritte zugrunde. 

Im ersten Verfahrensschritt wird von jedem einzelnen, nicht konkret benannten Teilnehmer 
30 Ti eine Nachricht der Form Ni = g zi mod p erzeugt und an alle anderen Teilnehmer Tj 
gesendet, wobei zi vorzugsweise eine mittels eines Zufallsgenerators gewahlte zufallige 
Zahl aus der Menge {1, ... p-2} ist. 
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Im zweiten Verfahrensschritt berechnet jeder Teilnehmer Ti ftir jeden weiteren Teilnehmer 
Tj mit i * j aus der empfangenen Nachricht g 2j einen gemeinsamen Ubertragungsschlussel 
k ij : = (g zi T- Da kU = kii kennen die Teilnehmer Ti und Tj jetzt einen gemeinsamen 
Ubertragungsschlussel k lj und konnen daher vertraulich kommunizieren. 

5 

Im dritten Verfahrensschritt verwendet jederTeilnehmer Ti den Ubertragungsschlussel k ,j , 
um seine Zufallszahl zi vertraulich an die jeweils anderenTeilnehmer Tj zu ubertragen. Die 
Verschliisselung der Zufallszahl zi mit dem Ubertragungsschlussel k ,j erfolgt dabei mittels 
eines symmetrischen Verschlusselungsverfahren. Das bedeutet, daB nach Abschlufi des 
10 Verfahrensschrittes jeder Teilnehmer Ti auBer seiner eigenen Zufallszahl auch die 
verschliisselten Zufallszahlen aller anderen Teilnehmer Tj kennt, so daB die 
Voraussetzungen gegeben sind, einen gemeinsamen Schliissel k zu berechnen. 

Im vierten Verfahrensschritt wird bei jedem Teilnehmer Ti der gemeinsame Schliissel k 
1 5 nach der Beziehung 

k = f(zl,z2, ...,zn) 

berechnet, wobei f eine beliebige symmetrische Funktion ist. Symmetrie bedeutet in 
diesem Fall, daB der Wert der Funktion, auch bei beliebiger Vertauschung der Argumente, 
der gleiche bleibt Beispiele fur symmetrische Funktionen sind 
20 • Die Multiplikation in einem (endlichen) Korper: k: = zl ... ' zn, 

• die Addition in einer (endlichen) Gruppe: k: = zl + ... + zn, 

• das bitweise XOR der zi: k: = zl ©...©zn, 

• die Potenzierung von g mit den zi: k: = g zl "* m 

• zahllose weitere Moglichkeiten. 

25 

Das Versenden der in Schritt 1 und 2 generierten Nachrichten kann sowohl uber Punkt-zu- 
Pvinkt-Verbindungen als auch durch Broadcast oder Multicast durchgeftihrt werden. 
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Nachfolgend wird das erfindungsgemaBe Verfahren anhand eines konkreten Beispiels fur 
drei Teilnehmer A, B und C naher erlautert. Die Anzahl der Teilnehmer ist jedoch auf 
beliebig viele Teilnehmer erweiterbar. 



WO 01/13567 PCT/EPOO/06510 



Bei diesem Beispiel betragt die Lange der Zahl p 1024 Bit; g hat eine multiplikative 
Ordnung von mindestens 2 160 . 

Das erfindungsgemaBe Verfahren lauft nach folgenden Verfahrensschritten ab: 
5 1 . Teilnehmer A sendet Na = g 23 mod p an die Teilnehmer B und C, Teilnehmer B sendet 
Nb = g zb mod p an die Teilnehmer A und C und Teilnehmer C sendet Nc = g zc mod p 
an die Teilnehmer A und B. 
2. Teilnehmer A berechnet kab = Nb M mod p und kac = Nc 22 mod p. 
Teilnehmer B und C verfahren analog. 
10 3 . Teilnehmer A sendet die Nachricht Mab = E(kab, za) an Teilnehmer B und die 
Nachricht Mac = E(kac, za) an Teilnehmer C. Hier bezeichnet E(k, m) die 
symmetrische Verschlusselung des Datensatzes m mit dem Algorithmus E unter dem 
Ubertragungsschlussel k lj . Teilnehmer B und C verfahren analog. 
4. Teilnehmer A berechnet den gemeinsamen Schlussel k nach der Funktion k = g 1 ™* 1 ** 1 ". 
15 Analog berechnen die Teilnehmer B und C den gemeinsamen Schlussel k. 

Das oben beschriebene Verfahren kommt mit der minimalen Anzahl von zwei Runden 
zwischen den Teilnehmern A, B und C aus. Die Anzahl der fur die Durchfiihrung des 
erfindungsgemaBen Verfahrens notwendigen Runden bleibt auch bei einer beliebigen 
20 Anzahl von Teilnehmern Tl-Tn auf zwei Runden beschrankt. 



Eine Variante des Verfahrens besteht darin, vorab einem der Teilnehmer Tl-Tn fur die 
Durchfiihrung des zweiten Verfahrensschrittes eine besondere Rolle zuzuweisen. Wird 
diese Rolle beispielsweise dem Teilnehmer Tl zugeordnet, so werden die 

25 Verfahrensschritite 2 und 3 bzw. b und c nur noch von Teilnehmer Tl ausgefuhrt. Im 

vierten Verfahrensschritt d berechnen alle am Verfahren beteiligten Teilnehmer Tl - Tn 
den gemeinsame Schlussel k nach der Beziehung k: = h(zl, g 22 , g 211 ), wobei 
(xl, x2, xn) eine Funktion sein mufi, die in den Argumenten x2, ... xn symmetrisch ist. 
Diese Variante vermindert die Anzahl der zu sendenden Nachrichten drastisch. 

30 Ein Beispiel fur eine solche Funktion g ist z. B. 

k: = h(zl, g 22 , g 2 ") = g zU2l -g 22 * 21 - ... g 2 "" 1 . 



WO 01/13567 




PCT/EP00/06510 



Das erfindungsgemafie Verfahren laBt sich vorteilhaft zur Erzeugung eines 
kryptografischen Schlussels fur eine Grappe von mehreren, mindestens jedoch drei 
Teilnehmern einsetzen. 
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Aufstellung der Bezugszeichen 

1\ _ X n Teilnehmer 1 bis n 

j j unbestimmter Teilnehmer von T 1 -Tn 

T j unbestimmter Teilnehmer von Tl -Tn, verschieden von 

Ti. 

jsj Nachricht 

Nachricht eines unbestimmten Teilnehmers Ti 
^j a b Nachricht von Teilnehmer A an Teilnehmer B 

q offentlich bekannte mathematische Gruppe 

g Element der Gruppe G 

p grofie Primzahl 

z mittels eines Zufallsgenerators gewahlte Zufallszahl 

axis der Menge (l,....p-2) 
k-ij . j^ij gemeinsamer Ubertragungsschlussel 

k gemeinsamer Schlussel 

E( 9 ) Algorithmus 
m Datensatz 

f(xl ,x2,...,xn) Funktion symmetrisch in xl ,x2,...,xn. 

h(xl ,x2,...,xn ^ Funktion symmetrisch in den Argumenten x2,...pcn. 

A; B; c Benennung der Teilnehmer im Ausfuhrungsbeispiel 



WO 01/13567 
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Verfahren zum Etablieren eines gemeinsamen Schlussels fur eine Gruppe von 
mindestens drei Teilnehmern 

(2) Patentanspruche 

1. Verfahren zum Etablieren eines gemeinsamen Schlussels ftir eine Gruppe von 
mindestens drei Teilnehmern unter Verwendung einer offentlich bekannten 
mathematischen Gruppe G und einem offentlich bekannten Element der Gruppe g € G 
von grofier Ordnung , 

dadurch gekennzeichnet, dafi 

a) jeder Teilnehmer (Ti) aus dem offentlich bekannten Element (g) der Gruppe (G) 
und einer von ihm gewahlten bzw. erzeugten Zufallszahl (zi) eine Nachricht 

Ni = (g zi mod p) erzeugt und an alle anderen Teilnehmer (Tj) sendet, dafi 

b) jeder Teilnehmer (Ti) aus den von den anderen Teilnehmern (Tj, j * i) emp- 
fangenen Nachrichten (Nj) und seiner Zufallszahl (zi) nach der Funktion 

k ij : = Nj* = (g zj ) 2i einen Ubertragxmgsschlussel (k lj ) erzeugt, den wegen der Be- 
ziehung k ij = le* 1 auch der Teilnehmer (Tj) kennt, dafi 

c) jeder Teilnehmer (Ti) an jeden anderen Teilnehmer (Tj) seine Zufallszahl (zi) 
verschliisselt schickt, indem er die Nachricht (Mij) gemaB Mij := E(k ,j , zi) bildet, 
wobei E(k iJ , zi) ein symmetrischer Verschlusselungsalgorithmus ist, bei dem der 
Datensatz (zi) mit dem gemeinsamen Ubertragungsschlussel (k u ) verschliisselt 
wird, und dafi 

d) jeder Teilnehmer (Ti) den zu etablierenden gemeinsamen Schlussel (k) aus sei- 
ner eigenen Zufallszahl (zi) und den von den anderen Teilnehmern erhaltenen 
Zufallszahlen (zj), j^i, nach der Beziehung 

k: = f (zl 3 zn) 

ermittelt, wobei f eine symmetrische Funktion sein mufi, die invariant unter 
der Permutation ihrer Argumente ist. 



10 

2. Verfahren zum Etablieren eines gemeinsamen Schliissels nach Anspruch 1 , 
dadurch gekennzei chnet , daB 

a) alle am Verfahren beteiligten Teilnehmer (Ti) die yon ihnen erzeugte Nachricht 
(Ni = g ri ) an einen vorab fiir die Durchfuhrung des nachfolgenden Verfahrens- 
schrittes bestimmten Teilnehmer, wie beispielsweise den ersten Teilnehmer (Tl), 
ubertragen, daB 

b) der erste Teilnehmer (Tl) die empfangenen Nachrichten (Nj) der anderen Teilneh- 
mer (Tj, j * 1) fur jeden Teilnehmer (Tj) einzeln mit seiner Zufallszahl (zl) zu je- 
weils einem Ubertragungsschlussel (k lj ) verschlusselt, den wegen der Beziehung 
k Ij = k jI auch der Teilnehmer (Tj) kennt, daB 

c) der erste Teilnehmer (Tl) an jeden anderen Teilnehmer (Tj) seine Zufallszahl (zl) 
verschlusselt schickt, indem er die Nachricht (Mlj) gemaB Mlj E(k lj , zl) bildet, 
wobei E(k lj , zl) ein symmetrischer Verschlusselungsalgorithmus ist, bei dem der 
Datensatz (zl) mit dem gemeinsamen Ubertragungsschlussel (k 1] ) verschlusselt 
wird, und daB 

d) jeder Teilnehmer (Ti) den zu etablierenden gemeinsamen Schliissel (k) aus den 
Werten (Ni) und (Nj), j*i und der vom ersten Teilnehmer (Tl) verschlusselt 
ubertragenen Zufallszahl (zl) mit Hilfe der Formel 

k:=h(zl,g 22 , ..^g 2 "), 
ermittelt, wobei h (xl , x2, xn) eine in den Argumenten x2, xn symmetri- 
sche Funktion ist. 
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